熊伟程

摘 要：文中首先分析了物联网的主要特点，然后对基于入侵检测的物联网安全体系结构进行论述，提出了一种分布式基于入侵检测的物联网安全模型，通过分析该模型能够很好地满足物联网安全和节能方面的需求。

关键词：入侵检测；物联网；安全；体系

中图分类号：TP393 文献标识码：A 文章编号：2095-1302（2017）09-00-03

0 引 言

物联网是把任何物品通过信息传感设备，按照一定的协议与互联网连接起来进行信息交换和共享，以实现智能化识别、定位、跟踪、监控和管理的一种无处不在的网络[1]。目前很多国家都在进行深入研究，如美国的“智慧地球”战略，欧盟的物联网行动计划，日本的U-Japan计划，韩国的U-Korea计划等，我国从2009年提出“感知中国”以来，物联网已成为国家的新兴战略性产业。

物联网容易受到各种攻击，如窃听、分组重放攻击、篡改、分组欺骗、拒绝服务攻击、对服务完整性的攻击等，另外还面临感知层的传感器、RFID、智能装置等容易被攻击者获取，通过物理手段获取节点中的信息，从而达到网络入侵、网络控制的目的。因此，物联网安全问题必然成为研究的重要方向。物联网节点电源能量有限、通信能力有限，计算和存储亦有限，在这种情况下，如何建立有效的安全体系，检测各种入侵和恶意攻击，保证物联网的可靠性，尤为重要[2]。

从安全技术角度出发，针对物联网安全的技术包括以确保自身安全的认证技术，确保安全传输的密钥建立和分发机制，确保数据自身安全的数据加密等[3]。这些技术都是被动的防范，没有对入侵的主动检测能力。而基于入侵检测的物联网安全技术是一种积极主动的防御技术，入侵检测系统主要通过监控整个网络和系统的状态、行为以及系统的使用情况来检测系统用户的越权使用以及系统外部入侵者对网络或系统进行入侵的企图，不仅可以检测来自外部的入侵，还可以监控内部用户的非授权行为[4]。基于入侵检测系统的物联网安全体系作为保障物联网安全的重要体系，已成为当前物联网网络安全的研究热点。

本文主要对基于入侵检测系统的物联网安全体系结构进行论述，分析研究了基于入侵检测系统的物联网体系结构特性，再根据物联网中节点的组织关系，对物联网入侵检测系统的体系结构进行分类，提出了一个适应物联网需求的分布式入侵检测系统模型，较好地兼顾了物联网对安全性的需求和物联网感知节点电源能量有限、通信能力和存储能力有限的特征。

1 物联网入侵检测系统结构

物联网由于受感知节点的电源能量有限、通信能力有限、计算和储存能力有限等因素的限制，使得基于入侵检测系统的物联网安全体系需要根据物联网的应用环境进行设计。

1.1 独立的入侵检测系统

物聯网的感知层电源能量有限，基于入侵检测系统的物联网安全结构只在物联网感知层的部分关键节点安装入侵检测系统，这些节点独立工作，除了进行数据采集外还进行入侵检测，它们没有从属关系，所采用的入侵检测方法也不尽相同，所检测到的信息直接通知中心节点。

I Onat等人提出了一种基于异常检测的无线传感器网络入侵检测体系，为各传感器节点植入入侵检测模块，构建基于路径的入侵检测系统，虽然传感器节点计算和通信能力有限，但它们有特定的属性，如拥有稳定的邻居信息，它们的相邻节点允许对异常网络和收发器的行为进行检测，这些特性可以被用来推动大型传感器网络入侵检测系统的发展。并指出在许多针对传感器网络的攻击中，攻击者的第一步是在网络中建立自己的合法节点。

独立的入侵检测系统的优点是实现和部署简单，但由于各个入侵检测节点相互独立，在相互协作方面比较差，可能导致感知区域产生大量冗余的感知信息，同时各入侵检测节点只能检测到自身所感知区域的数据。

1.2 入侵检测节点平等合作的入侵检测系统

在物联网的感知网络中，它们的相邻节点允许对异常网络和收发器的行为进行检测，根据物联网这一特征，构建各入侵检测节点平等合作的入侵检测系统，在安装了入侵检测系统的节点之间相互合作，交换检测信息，共同判定入侵检测结果。

如Strikos提出的本地代理入侵检测系统包括如下部分：

（1）数据收集模块。该模块负责过滤原始感知数据，并将这些数据上报给本地检测模块；

（2）本地检测模块。该模块针对数据收集模块上报的数据，对规则数据库查询并进行规则分析，判断是否存在入侵并做出响应；

（3）合作检测模块。当本地检测模块发现入侵行为但不确定时，调用合作检测模块向相邻节点以广播的方式发送入侵检测合作请求，收到入侵检测合作请求的相邻节点再以广播的方式发送检测到的入侵信息，综合判断是否存在入侵。

（4）进行本地响应和全局响应。

这种入侵检测系统的入侵检测能力比独立的入侵检测系统有了明显的改进和提高，但该系统要求某一区域内的多数节点都安装和运行入侵检测系统，同时，节点间的合作需要广播大量信息，当网络安全威胁相对较小时，就会造成资源浪费，甚至严重影响网络流量。

1.3 层次的入侵检测系统

因为物联网感知层的感知节点能量有限，为避免像对等合作的入侵检测系统那样多数节点都运行入侵检测模块以及节点间相互合作而产生大量广播信息，提出层次的树型入侵检测系统。命令和控制节点在上层，汇聚节点在中间层，采集节点是叶节点，其基本模型如图1所示。

（1）叶节点：负责数据采集的节点，进行必要的过滤，并将数据传递给上层汇聚节点。

（2）汇聚节点：进行数据信息的汇聚并从汇聚的数据中找出关键数据，同时利用数据融合等技术对来自叶节点的数据进行综合，提高信息的准确性。

（3）命令和控制节点：评估从汇聚节点中获取的信息，进行是否存在入侵的判断，这也是层次结构入侵检测系统的核心部分，对攻击评估的状况做出响应。endprint

物联网的入侵检测系统漏检率低，但层次结构的入侵检测系统在数据传送过程中，需进行数据过滤和数据融合等相关操作，增加网络延迟。同时汇聚节点对数据进行汇聚时可能会丢失一些重要的入侵检测信息，对网络的鲁棒性造成了一定影响。

2 基于入侵检测系统的物联网安全模型

鉴于入侵检测在物联网安全系统中的重要作用，除了要实现可靠的检测能力，还必须满足物联网在减小通信开销、节能和检测实时性等方面的要求，为此，提出了一种物联网的入侵检测模型。

2.1 系统结构

根据物联网的特殊性，单独采用异常检测或误用检测都很难达到较好的检测效果。因此根据入侵检测框架（CIDF），建立一个适应物联网需求的入侵检测模型，如图2所示。

如果异常检测系统根据定义的正常活动的阈值，检测到某一节点的活动超过这一阈值时就发出警报并触发误用检测系统，误用检测系统的检测能力依赖于“入侵模式库”的完备性。在物联网中，这一步主要利用了物联网中的“感知”能力。误用检测系统对可疑节点进行全面、长期的观察，如果误用检测系统最终确认该节点是入侵者就立即启动响应单元，协调其他安全相关模块的工作。检测过程如图3所示[4]。

2.2 异常检测系统

异常检测系统根据节点的活动特征，以及物联网系统资源的使用情况对是否存在入侵进行判断，建立物联网节点和物联网系统的正常行为规律的模型，检测节点将当前捕获的节点活动情况与模型对比，若节点的活动偏离了正常轨迹，入侵行为很容易就被检测出来。异常检测系统中的监控对象是检测节点周围的节点，比如入侵检测节点附近节点的活动情况；节点位置的移动；所接收到信号的强弱和方向等。

2.3 误用检测系统

误用检测系统假定所有的网络攻击行为和方法都具有一定的模式或特征，根据以往发现的所有网络攻击的特征建立一个入侵信息库，误用检测系统将当前捕获到的网络行为特征与入侵信息库中的特征信息进行比较，如果匹配，就被认定为是违背安全策略的行为或入侵[5]。误用检测系统检测准确度高，技术比较成熟。在上述体系中一旦异常检测系统发现异常，就会触发误用检测系统，误用检测系统就会将当前的网络行为特征与入侵信息库中的特征信息进行比较，如果匹配，系统就认为发生了误用或入侵，报警并进行响应。

2.4 性能分析

根据物联网的特殊性，基于入侵检测系统的物联网安全体系必须在保证安全性的前提下充分考虑节能性。

2.4.1 安全性

本文提出的基于入侵检测系统的物联网安全体系综合了异常检测系统和误用检测系统的优势，异常检测能够根据被监控的节点行为检测出入侵或攻击，入侵节点一旦进入网络就会被监控；误用检测系统的漏检率低、技术成熟、便于维护，能够根据各种证据对入侵行为做出判断。此外，检测节点分布在不同的位置，能够保证系统的可用性，并使系统的安全性和可靠性得到保证。

2.4.2 节能性

根据物联网感知层的特殊性，节能是一个非常关键的因素。首先，异常检测能耗低，只是被动地监听周围节点的活动，无需发送报文。其次，误用检测系统也只有在被异常检测系统触发后才工作，节能性比较好。

3 结 语

基于入侵检测的物联网安全体系研究目前还不够深入，依旧存在如何在物联网有限的通信能力、有限的能量供应感知节点中实现有效入侵检测，降低入侵檢测虚警率，保障入侵检测节点的安全等问题。本文在对对等合作、层次结构的入侵检测系统等技术进行研究和探讨的基础上，提出了一种分布式的综合的基于入侵检测的物联网安全体系，该体系在保证系统安全性和可靠性的前提下，充分考虑了物联网的节能问题，利用物联网中入侵检测节点的智能感知能力，综合异常检测和误用检测来断定入侵行为，为物联网的安全体系构建提供了一种新方案。

参考文献

[1]乔安平.物联网组网技术[M].北京：中国铁道出版社，2013.

[2]刘强，崔莉，陈海明.物联网关键技术与应用[J].计算机科学，2010，37（6）：1-4.

[3]许毅.无线传感器网络原理及方法[M].北京：清华大学出版社，2012：213-217.

[4]罗守山.入侵检测[M]北京：北京邮电大学出版社，2004：13-26.

[5]胡道元.网络安全[M].清华大学出版社，2008.

[6]杨黎斌，慕德俊，蔡晓妍.无线传感网络入侵检测研究[J].计算机应用研究，2008，25（11）：3204-3208.

[7]杨庚，许建，陈伟，等.物联网安全特征与关键技术[J].南京邮电大学学报（自然科学版），2010，30（4）：20-29.

[8]郑和喜.WSN RFID物联网原理与应用[M].北京：电子工业出版社，2010.

[9]郁有文.传感器原理及工程应用[M].西安：西安电子科技大学出版社，2009.

[10]刘宴兵，胡文平.物联网安全模型及关键技术[J].数字通信，2010，37（4）：28-33.endprint